テナンシをまたがったストリーミング・リソースへのアクセス
このトピックでは、テナンシが他のテナンシのストリーミング・リソースにアクセスできるようにするポリシーを記述する方法について説明します。
ポリシーを初めて使用する場合は、ポリシーの開始およびストリーミング・サービスの詳細を参照してください。
クロステナンシ・ポリシー
組織は、独自のテナンシを持つ別の組織とストリーミング・リソースを共有する場合があります。これは、会社内の別のビジネス・ユニット、会社の顧客、会社にサービスを提供する会社などの場合があります。このような場合、前述の必須ユーザーとサービス・ポリシーに加えて、クロステナンシ・ポリシーが必要です。
承認、許可および定義ステートメント
リソースにアクセスして共有するには、両方のテナンシの管理者は、アクセスと共有が可能なリソースを明示的に示す特別なポリシー・ステートメントを作成する必要があります。これらの特別なステートメントは、定義、承認および許可という語句を使用します。
クロステナンシ・ステートメントで使用される特別な動詞の概要は次のとおりです:
- 承認: 独自のテナンシ内のグループが他のテナンシ内で実行できる一般的な機能セットを示します。承認ステートメントは、テナンシのリソースを使用する他のテナンシに対して境界を超えるユーザーのグループのテナンシに常に属します。例では、このテナンシをソースと呼びます。
- 許可: 他のテナンシからグループに付与する独自のテナンシの機能の種類を示します。許可ステートメントは、テナンシに「許可」したテナンシに属します。許可ステートメントは、ソース・テナンシからのリソース・アクセスを必要とし、対応する承認ステートメントで特定されるユーザーのグループを識別します。例では、このテナンシを宛先と呼びます。
-
定義: 承認および許可ポリシー・ステートメントのテナンシOCIDに別名を割り当てます。許可ステートメントのソースIAMグループOCIDに別名を割り当てるには、宛先テナンシに定義ステートメントも必要です。
定義ステートメントは、承認または許可ステートメントと同じポリシー・エンティティに含める必要があります。
承認および許可ステートメントは連携して動作しますが、それぞれのテナンシの別々のポリシーに存在します。アクセス権を指定する対応ステートメントがない場合、特定の承認または許可ステートメントはアクセス権を与えません。両方のテナンシから合意が必要です。
ソース・ポリシー
ソース管理者は、宛先テナンシでリソースを管理できるソースIAMグループを承認するポリシー・ステートメントを作成します。
IAMグループのStreamingAdminsグループがテナンシ内のすべてのストリーミング・リソースに対してすべての操作を実行することを承認する広範なポリシー・ステートメントの例を次に示します:
Endorse group StreamingAdmins to manage streams in any-tenancy
テナンシ・アクセスの範囲を狭くするポリシーを記述するには、宛先管理者が宛先テナンシOCIDを指定する必要があります。次の例は、IAMグループのStreamingAdminsグループがDestinationTenancyのストリーミング・リソースのみを管理することを承認するポリシー・ステートメントを示しています:
Define tenancy DestinationTenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group StreamingAdmins to manage streams in tenancy DestinationTenancy
宛先ポリシー
宛先管理者は、次のポリシー・ステートメントを作成します:
- ソース・テナンシおよびテナンシのリソースにアクセスできるIAMグループを定義します。ソース管理者がこの情報を提供する必要があります。
- テナンシでアクセスを許可するストリーミング・リソースにアクセスするために、定義済のソースを許可します。
ソース・テナンシのIAMグループのStreamingAdminsがテナンシ内のすべてのストリーミング・リソースに対してすべての操作を実行することを承認するポリシー・ステートメントの例を次に示します:
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group StreamingAdmins as ocid1.group.oc1..<unique_ID>
Admit group StreamingAdmins of tenancy SourceTenancy to manage streams in tenancy
次の例は、ソース・テナンシのIAMグループのStreamingAdminsがSharedStreamsコンパートメントのストリーミング・リソースのみを管理することを承認するポリシー・ステートメントを示しています:
Define tenancy SourceTenancy as ocid1.tenancy.oc1..<unique_ID>
Define group StreamingAdmins as ocid1.group.oc1..<unique_ID>
Admit group StreamingAdmins of tenancy SourceTenancy to manage streams in compartment SharedStreams